កម្មវិធី Android Apps ច្រើនជាង 1,300 លួចយកទិន្នន័យរបស់អ្នកប្រើប្រាស់ទោះបីជាបដិសេធទៅលើការសុំអនុញ្ញាតក៏ដោយ

0

ទូរស័ព្ទឆ្លាតវៃដើរតួយ៉ាងសំខាន់ក្នុងសកម្មភាពប្រចាំថ្ងៃ។ វាអាចទទួលបានធនធានងាយរងគ្រោះដូចជាឧបករណ៍ចាប់សញ្ញា កាមេរ៉ា មីក្រូហ្វូន និងជីភីអេស។ សម្រាប់អ្នកប្រើចុងក្រោយ វាចាំបាច់ក្នុងការការពារទូរស័ព្ទពីការចូលដោយគ្មានការអនុញ្ញាត។ ទូរស័ព្ទដំណើរការដោយប្រព័ន្ធប្រតិបត្តិការ Android គឺជាប្រព័ន្ធប្រតិបត្តិការទូរស័ព្ទដែលពេញនិយមនិងប្រើច្រើនបំផុតចាប់ផ្តើមពីអ្នកប្រើប្រាស់ប្រព័ន្ធប្រតិបត្តិការ Android ៦.0 ផ្តល់សិទ្ធិនិងដកហូតសិទ្ធិអនុញ្ញាតកម្មវិធីនៅពេលដំណើរការសម្រាប់កម្មវិធីភាគីទីបី។

អ្នកស្រាវជ្រាវផ្នែកសុវត្ថិភាពមកពី IMDEA Networks Institute, U.C. Berkeley និង ICSI AppCensus, Inc បានរកឃើញថាកម្មវិធីអាចគេចផុតពីគំរូនៃការអនុញ្ញាតនិងអាចចូលប្រើទិន្នន័យរសើបដោយគ្មានការយល់ព្រមពីអ្នកប្រើប្រាស់។ កម្មវិធីនេះអាចទទួលបានការចូលទៅកាន់តំបន់ដែលងាយរងគ្រោះតាមរយៈទាំងបណ្តាញព័ត៌មាននិងបណ្តាញចំហៀងជាង ៨៨.០០០ កម្មវិធីពី Google play សហរដ្ឋអាមេរិកដែលជាកម្មវិធីក្នុងចំណោមកម្មវិធី ១.៣២៥ ត្រូវបានរកឃើញថារំលោភប្រព័ន្ធការអនុញ្ញាត។

យោងតាមរបាយការណ៍ បណ្តាញចំហៀងដែលមានវត្តមាននៅក្នុងការអនុវត្តនៃប្រព័ន្ធអនុញ្ញាតឱ្យកម្មវិធីចូលប្រើទិន្នន័យការពារនិងធនធានប្រព័ន្ធដោយគ្មានការអនុញ្ញាត។ ចំណែកឯបណ្តាញសម្ងាត់បើកដំណើរការទំនាក់ទំនងរវាងកម្មវិធីឃុបឃិតគ្នាដើម្បីឱ្យកម្មវិធីមួយអាចចែករំលែកទិន្នន័យដែលបានការពារពីការអនុញ្ញាតរបស់ខ្លួនជាមួយកម្មវិធីមួយទៀតដែលខ្វះការអនុញ្ញាត។ កម្មវិធីទាំងពីរបង្កការគំរាមកំហែងដល់ភាពឯកជនរបស់អ្នកប្រើប្រាស់។ ការវាយប្រហារត្រូវបានដាក់ជា ៥ក្រុមផ្សេងគ្នានៃការបិទបាំងនិងការវាយប្រហារ side-channel ដើម្បីទាញយកទិន្នន័យរសើបចេញពីឧបករណ៍។

IMEI (Salmonads & Baidu)

កម្មវិធីចំនួន៥ ដែលបានបង្កើតឡើងនៅក្នុងកម្មវិធីអភិវឌ្ឍន៍ Salmonads របស់ភាគីទីបីបានរកឃើញថាផ្ទុកនូវ IMEI ទោះបីជាពួកគេមិនមានការអនុញ្ញាតចូលប្រើវាក៏ដោយ។ ការវិភាគបន្ថែមបានបង្ហាញថាពាក្យសុំមានផ្ទុក Salmonads SDK ដែលធ្វើអាជីវកម្មបណ្តាញសម្ងាត់ដើម្បីអានព័ត៌មាននេះ។ កម្មវិធីស្វែងរកចិនធំជាងគេគឺ Baidu ប្រើ SDK ដូចគ្នា។

អាសយដ្ឋានបណ្តាញ MAC

ប្រព័ន្ធប្រតិបត្តិការ Android ការពារការចូលប្រើអាសយដ្ឋាន MAC របស់ឧបករណ៍តាមលំនាំដើម អ្នកស្រាវជ្រាវបានសង្កេតឃើញថាកម្មវិធីបញ្ជូនអាសយដ្ឋាន MAC របស់ឧបករណ៍ដោយគ្មានការអនុញ្ញាតចូលប្រើវា។ ម៉ាស៊ីនហ្គេមឆ្លងវេទិកា Unity ដែលត្រូវបានប្រើនៅក្នុងហ្គេមទូរស័ព្ទចល័ត Android ជាច្រើនបានប្រទះឃើញការបញ្ជូន MD៥ របស់ MAC ទៅម៉ាស៊ីនមេរបស់ Unity ។

អាសយដ្ឋានរ៉ោតទ័រ MAC

ការចូលប្រើអាសយដ្ឋាន MAC (BSSID) តាមរ៉ោតទ័រ WiFi ត្រូវបានការពារដោយសិទ្ធិរបស់ ACCESS_WIFI_STATE ។ ការវិភាគរបស់យើងបានបង្ហាញពីបណ្តាញពីរចំហៀងដើម្បីទទួលបានព័ត៌មានរ៉ោតទ័រ WiFi ដែលបានតភ្ជាប់: អានឃ្លាំងសម្ងាត់ ARP និងសួររ៉ោតទ័រដោយផ្ទាល់។

ទីតាំងភូមិសាស្ត្រ

មានកម្មវិធីជាង ៧០ ផ្ញើទិន្នន័យទីតាំងទៅដែនចំនួន ៤៥ផ្សេងៗគ្នាដោយមិនមានការអនុញ្ញាតពីទីតាំងណាមួយឡើយ។ ឧទាហរណ៍ Shutterfy និង EXIF Metadata បញ្ជូនទីតាំងភូមិសាស្ត្រជាក់លាក់រួមទាំងរយៈទទឹងនិងរយៈបណ្តោយទៅម៉ាស៊ីនមេ ទោះបីជាវាមិនមានការអនុញ្ញាតក៏ដោយ។ “ខណៈពេលដែលកម្មវិធីនេះប្រហែលជាមិនមានចេតនាដើម្បីបញ្ចៀសប្រព័ន្ធ ការអនុញ្ញាតបច្ចេកទេសនេះអាចត្រូវបានកេងប្រវ័ញ្ចដោយតួអង្គព្យាបាទដើម្បីទទួលបានទីតាំងរបស់អ្នកប្រើប្រាស់។ ” កំហុសនេះត្រូវបានអ្នកស្រាវជ្រាវរាយការណ៍ទៅ Google កាលពីខែកញ្ញាឆ្នាំមុន ហើយពួកគេទទួលបានគុណវិបត្តិនៃកំហុសដែលបង្ហាញពីបញ្ហា ហើយការជួសជុលនឹងមានជាមួយការចេញផ្សាយប្រព័ន្ធប្រតិបត្តិការ Android Q ៕

More than 1,300 Android Apps Steals user Data Even After the Permission Denied

LEAVE A REPLY

Please enter your comment!
Please enter your name here